- Der Forscher „Chaotic Eclipse“ enthüllt den neuen Microsoft Defender Zero-Day namens RedSun
- Der Fehler ermöglicht die Eskalation lokaler Berechtigungen auf SYSTEM, indem er das Dateiumschreibungsverhalten von Defender missbraucht
- Erscheint wenige Tage nach der Veröffentlichung von BlueHammer; Microsoft gibt an, eine koordinierte Offenlegung zu untersuchen und zu unterstützen
Derselbe verärgerte Forscher, der kürzlich eine Zero-Day-Sicherheitslücke in Windows aufgedeckt hatte, hat es nun erneut getan, diesmal gegen Microsoft Defender, die native Antivirenlösung des Betriebssystems.
Ein Forscher mit dem Pseudonym „Chaotic Eclipse“ hat einen Proof-of-Concept (PoC)-Exploit für eine Schwachstelle namens „RedSun“ veröffentlicht. Es handelt sich um einen Fehler bei der lokalen Rechteausweitung, der böswilligen Akteuren SYSTEM-Berechtigungen in den neuesten Versionen von Windows 10, Windows 11 und Windows Server mit aktiviertem Windows Defender gewährt.
„Wenn Windows Defender erkennt, dass eine schädliche Datei aus irgendeinem dummen und urkomischen Grund ein Cloud-Tag hat, entscheidet das Antivirenprogramm, das schützen soll, dass es eine gute Idee ist, die gefundene Datei einfach wieder an ihren ursprünglichen Speicherort zu schreiben“, schrieb Chaotic Eclipse. „Der PoC missbraucht dieses Verhalten, um Systemdateien zu überschreiben und sich Administratorrechte zu verschaffen.“
Der Artikel wird weiter unten fortgesetzt
„Schreckliche Erfahrung“
BleepingComputer bestätigte, dass der Fehler funktioniert, und sagt, dass einige Antiviren-Anbieter auf VirusTotal ihn bereits erkennen, weil die ausführbare Datei eine eingebettete EIRCAR (Antiviren-Testdatei) enthält.
Die Nachricht kommt etwa zehn Tage, nachdem Chaotic Eclipse den Code für BlueHammer veröffentlicht hat, eine Sicherheitslücke zur Rechteausweitung, die es lokalen Angreifern ermöglicht, SYSTEM- oder erhöhte Administratorberechtigungen auf dem Zielendpunkt zu erlangen.
Offenbar war der Forscher mit der Art und Weise, wie Microsoft mit der Offenlegung von Sicherheitslücken umgeht, unzufrieden.
„Normalerweise würde ich sie anflehen, einen Fehler zu beheben, aber um es zusammenzufassen: Sie haben mir persönlich gesagt, dass sie mein Leben ruinieren werden, und das haben sie getan. Ich bin mir nicht sicher, ob ich der Einzige war, der diese schreckliche Erfahrung gemacht hat, oder nur wenige, aber ich denke, die meisten würden es einfach essen und ihre Verluste begrenzen, aber für mich haben sie alles weggenommen“, sagte Chaotic Eclipse offenbar.
„Sie haben mit mir den Boden gewischt und jedes kindische Spiel gemacht, das sie nur konnten. Irgendwann war es so schlimm, dass ich mich gefragt habe, ob ich es mit einem riesigen Konzern zu tun habe oder mit jemandem, der nur Spaß daran hat, mich leiden zu sehen, aber es scheint eine kollektive Entscheidung zu sein.“
Als Reaktion darauf sagte Microsoft, dass man sich „zur Kundenverpflichtung verpflichtet hat, gemeldete Sicherheitsprobleme zu untersuchen und betroffene Geräte so schnell wie möglich zu aktualisieren, um die Kunden zu schützen.“
„Wir unterstützen auch die koordinierte Offenlegung von Schwachstellen, eine weit verbreitete Branchenpraxis, die dazu beiträgt, sicherzustellen, dass Probleme vor der öffentlichen Offenlegung sorgfältig untersucht und behoben werden, und so sowohl den Kundenschutz als auch die Sicherheitsforschungsgemeinschaft unterstützt“, sagte der Sprecher der Veröffentlichung.
Das beste Antivirenprogramm für jedes Budget
Folgen Sie TechRadar auf Google News Und Fügen Sie uns als bevorzugte Quelle hinzu um unsere Expertennachrichten, Rezensionen und Meinungen in Ihren Feeds zu erhalten. Klicken Sie unbedingt auf die Schaltfläche „Folgen“!
Und natürlich können Sie das auch Folgen Sie TechRadar auf TikTok für Neuigkeiten, Rezensionen, Unboxings in Videoform und erhalten Sie regelmäßige Updates von uns WhatsApp zu.
